En tant que fabricant du navigateur Web le plus utilisé au monde, Google a l’obligation morale et peut-être même légale de protéger la vie privée et la sécurité de ses utilisateurs. Cependant, tous ses efforts n’ont pas été accueillis sans examen, comme le montrent le Privacy Sandbox et FLoC, abréviation de Federated Learning of Cohorts.
Mais avant cela, Google a déjà essayé de lutter contre les escroqueries par hameçonnage en modifiant ce que les utilisateurs voient dans la barre d’adresse de Chrome. Il s’avère que cette stratégie n’était pas aussi efficace qu’on le supposait et Google fait maintenant marche arrière sur la position qu’elle a défendue avec force l’année dernière.
De nombreuses arnaques par hameçonnage reposent sur la tendance des gens à ne pas vérifier deux fois les choses, qu’il s’agisse des numéros qui les appellent ou de l’adresse des sites Web. Ce dernier point peut s’avérer encore plus délicat lorsque certains sites d’hameçonnage tentent d’utiliser des URL ou des adresses dont l’apparence ou la sonorité sont très proches de l’original, d’utiliser des chaînes de texte extra-longues pour dissuader toute inspection, ou d’utiliser d’autres astuces pour cacher leur véritable source. La solution proposée par Google consistait à masquer complètement ces URL et à n’afficher que le nom de domaine réel de la page Web.
L’année dernière, Google a lancé une expérience consistant à masquer tout sauf le nom de domaine d’un site dans l’espoir d’aider les utilisateurs à distinguer plus facilement « google.com » de « gooogle.com ». Il s’agit d’une option bien plus modeste que celle proposée par une proposition encore plus ancienne, selon laquelle Chrome n’afficherait même pas les URL, mais uniquement les termes de recherche.
Bien sûr, cela supposait que tout le monde utilise les barres d’adresse pour effectuer des recherches directement sur Google ou d’autres moteurs Web.
Une stratégie qui n’a pas payé
Maintenant, Google met apparemment fin à cette « expérience de domaine simplifié », ce qui signifie qu’il n’atterrira plus sur les navigateurs Chrome des utilisateurs finaux. L’entreprise a simplement déclaré que cette stratégie n’avait pas fait bouger les paramètres de sécurité pertinents, ce qui est probablement une autre façon de dire qu’elle n’était pas réellement efficace pour lutter contre les sites d’usurpation. Il y a probablement un risque encore plus grand que les gens n’accordent pas un second regard à l’URL simplifiée parce qu’elle semble plus légitime du fait de sa simplicité.
Au-delà des doutes sur l’efficacité de la solution, Google a également été critiqué pour avoir favorisé ses propres applications et services avec cette stratégie. En particulier, elle aurait caché les pages AMP de Google à la vue de tous, conduisant davantage de trafic vers les serveurs de Google plutôt que vers la source réelle de ces sites. Aujourd’hui, Chrome ne cache que le « https:// » au début de l’URL, mais vous pouvez choisir de ne pas le faire sur les ordinateurs de bureau en cliquant avec le bouton droit de la souris sur la barre d’adresse et en cochant « Toujours afficher les URL complètes ».
